Apache HTTP Server 2.4.59リリース、複数の脆弱性に対処
マイナビニュース2024年4月9日(火)10時28分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVNVU#99032532: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Serverに複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、攻撃者によってサービス運用妨害(DoS: Denial of Service)攻撃を実行される可能性がある。
○脆弱性の概要
脆弱性に関する情報は次のページにまとまっている。
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2023-38709 - Apacheコアに誤った入力検証の脆弱性。悪意のある、または悪用可能なバックエンド/コンテンツ・ジェネレーターがHTTPレスポンスを分割する可能性がある
CVE-2024-24795 - Apacheの複数のモジュールにおけるHTTPレスポンス分割の脆弱性。バックエンドアプリケーションに悪意のあるレスポンスヘッダーを注入できる攻撃者は、HTTP desync攻撃を実行できる可能性がある
CVE-2024-27316 - HTTP/2プロトコルのCONTINUATIONフレームに制限が存在しない脆弱性。攻撃者はCONTINUATIONフレームを連続して送信し続けることでサービス運用妨害(DoS: Denial of Service)攻撃を実行できる可能性がある
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
Apache HTTP Server 2.4.58およびこれ以前のバージョン
○脆弱性を修正した製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
Apache HTTP Server 2.4.59およびこれ以降のバージョン
JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
○脆弱性の概要
脆弱性に関する情報は次のページにまとまっている。
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2023-38709 - Apacheコアに誤った入力検証の脆弱性。悪意のある、または悪用可能なバックエンド/コンテンツ・ジェネレーターがHTTPレスポンスを分割する可能性がある
CVE-2024-24795 - Apacheの複数のモジュールにおけるHTTPレスポンス分割の脆弱性。バックエンドアプリケーションに悪意のあるレスポンスヘッダーを注入できる攻撃者は、HTTP desync攻撃を実行できる可能性がある
CVE-2024-27316 - HTTP/2プロトコルのCONTINUATIONフレームに制限が存在しない脆弱性。攻撃者はCONTINUATIONフレームを連続して送信し続けることでサービス運用妨害(DoS: Denial of Service)攻撃を実行できる可能性がある
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
Apache HTTP Server 2.4.58およびこれ以前のバージョン
○脆弱性を修正した製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
Apache HTTP Server 2.4.59およびこれ以降のバージョン
JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
「脆弱性」をもっと詳しく
「脆弱性」のニュース
-
情報漏洩の80%はActive Directoryが原因、4,000万件超の脆弱性を分析6月13日9時35分
-
人気ある生体認証デバイスに脆弱性、細工したQRコードで認証可能6月13日8時51分
-
中国が支援するサイバー攻撃、FortiGateの脆弱性を悪用して2万台超を侵害6月13日7時28分
-
クラウドストレージ脆弱性診断提供開始のお知らせ6月12日17時46分
-
Microsoft、2024年6月の月例更新 - 49件の脆弱性への対応が行われる6月12日16時9分
-
Microsoft、脆弱性修正する6月の累積更新プログラムを配信開始6月12日12時10分
-
バグバウンティプラットフォーム「IssueHunt」等を提供するIssueHunt株式会社、学生のためのサイバーセキュリティカンファレンス「P3NFEST」第二回開催のお知らせ6月12日11時16分
-
脆弱性管理クラウド「yamory」 「AWS Summit Japan」出展および登壇のお知らせ6月12日11時16分
-
Pixelに6月のセキュリティ更新 「悪用を受けている可能性」のある脆弱性を含む50件に対処6月12日11時7分
-
ThinkPHPの古い脆弱性を悪用したサイバー攻撃を確認、注意を6月12日9時23分
ITニュースランキング
-
1メルカリで「doorzo」というアカウントに購入された! 怪しい相手でないか心配…取引しても大丈夫? All About
-
2金剛型をイメージしたデザイン トヨタ GR86に「艦これ」コラボ仕様車が登場! 価格は500万円超も購入希望者が殺到 ねとらぼ
-
3実はメルカリで出品してはいけないもの5選! “夏の風物詩”もNGって本当?【メルカリのプロが解説】 All About
-
4ノミナヘルCEOが語る、Celonisが標榜する“プロセスインテリジェンス”の世界とは マイナビニュース
-
5この秋、iPhoneやiPadはこんな便利に! 「iOS 18」「iPadOS 18」新機能まとめ マイナビニュース